Linux主机操作系统加固规范.doc

LinuxLinux 主机操作系统加固规范主机操作系统加固规范 目目 录录 1 1账号管理、认证授权账号管理、认证授权.1 1.1账号.1 1.1.1SHG-Linux-01-01-01.1 1.1.2SHG-Linux-01-01-02.2 1.1.3SHG-Linux-01-01-03.3 1.1.4SHG-Linux-01-01-04.4 1.1.5SHG-Linux-01-01-05.5 1.1.6SHG-Linux-01-01-06.6 1.2口令.7 1.2.1SHG-Linux-01-02-01.7 1.2.2SHG-Linux-01-02-02.8 1.2.3SHG-Linux-01-02-03.8 1.3文件与授权.9 1.3.1SHG-Linux-01-03-01.9 1.3.2SHG-Linux-01-03-02.10 1.3.3SHG-Linux-01-03-03.12 1.3.4SHG-Linux-01-03-04.14 1.3.5SHG-Linux-01-03-05.15 1.3.6SHG-Linux-01-03-06.16 1.3.7SHG-Linux-01-03-07.18 1.3.8SHG-Linux-01-03-08.18 2 2日志配置日志配置.19 2.1.1SHG-Linux-02-01-01.19 2.1.2SHG-Linux-02-01-02.20 2.1.3SHG-Linux-02-01-03.21 2.1.4SHG-Linux-02-01-04.22 2.1.5SHG-Linux-02-01-05.23 3 3通信协议通信协议.24 3.1IP 协议安全.24 3.1.1SHG-Linux-03-01-01.24 3.1.2SHG-Linux-03-01-02.25 3.1.3SHG-Linux-03-01-03.26 3.1.4SHG-Linux-03-01-04.27 3.1.5SHG-Linux-03-01-05.28 3.1.6SHG-Linux-03-01-06.29 4 4设备其他安全配置要求设备其他安全配置要求.30 4.1补丁管理.30 4.1.1SHG-Linux-04-01-01.30 4.2服务进程和启动.31 4.2.1SHG-Linux-04-02-01.31 4.2.2SHG-Linux-04-02-02.33 4.2.3SHG-Linux-04-02-03.34 4.2.4SHG-Linux-04-02-04.35 4.2.5SHG-Linux-04-02-05.36 4.3BANNER与屏幕保护.37 4.3.1SHG-Linux-04-03-01.37 4.3.2SHG-Linux-04-03-02.38 4.3.3SHG-Linux-04-03-03.39 4.4可疑文件.42 4.4.1SHG-Linux-04-04-01.42 4.4.2SHG-Linux-04-04-02.43 4.4.3SHG-Linux-04-04-03.44 4.4.4SHG-Linux-04-04-04.44 4.4.5SHG-Linux-04-04-05.45 4.4.6SHG-Linux-04-04-06.46 4.4.7SHG-Linux-04-04-07.47 4.4.8SHG-Linux-04-04-08.48 5附录：附录：.49 5.1推荐安装安全工具.49 5.2LINUX可被利用的漏洞（截至 2009-3-8）.50 本文档是 Linux 操作系统的对于 Linux 操作系统设备账号认证、日志、协议、 补丁升级、文件系统管理等方面的安全配置要求，共 45 项，对系统的安全配置审 计、加固操作起到指导性作用。 1 1 1 1 账号管理、认证授权账号管理、认证授权账号管理、认证授权账号管理、认证授权 1.1 账号账号账号账号 ..1 SHG-Linux-01-01-01SHG-Linux-01-01-01SHG-Linux-01-01-01SHG-Linux-01-01-01 编号 SHG-Linux-01-01-01 名称为不同的管理员分配不同的账号 实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。 问题影响账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态cat /etc/passwd 记录当前用户列表 实施步骤 1 1、参考配置操作、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中 755 为设置的权限，可根据 实际情况设置相应的权限，directory 是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口 令及权限信息等。 回退方案删除新增加的帐户 判断依据标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险高 重要等级 备注 ..2 SHG-Linux-01-01-02SHG-Linux-01-01-02SHG-Linux-01-01-02SHG-Linux-01-01-02 编号 SHG-Linux-01-01-02 名称去除不需要的帐号、修改默认帐号的 shell 变量 实施目的 删除系统不需要的默认帐号、更改危险帐号缺省的 shell 变 量 问题影响允许非法利用系统默认账号 系统当前状态 cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记录当前密码配置 实施步骤 1 1、参考配置操作、参考配置操作 # userdel lp # groupdel lp 如果下面这些系统默认帐号不需要的话，建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的 shell 变量，例如 uucp,ftp 和 news 等， 还有一些仅仅需要 FTP 功能的帐号，一定不要给他们设置 /bin/bash 或者/bin/sh 等 Shell 变量。可以在/etc/passwd 中将 它们的 shell 变量设为/bin/false 或者/dev/null 等，也可以使 用 usermod -s /dev/null username 命令来更改 username 的 shell 为/dev/null。 回退方案恢复账号或者 SHELL 判断依据如上述用户不需要，则锁定。 实施风险高 重要等级 备注 ..3 SHG-Linux-01-01-03SHG-Linux-01-01-03SHG-Linux-01-01-03SHG-Linux-01-01-03 编号 SHG-Linux-01-01-03 名称限制超级管理员远程登录 实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理 员权限操作，应先以普通权限用户远程登录后，再切换到 超级管理员权限账。 问题影响允许 root 远程非法登陆 系统当前状态 cat /etc/ssh/sshd_config cat /etc/securetty 实施步骤 1 1、参考配置操作参考配置操作 SSH:SSH: #vi /etc/ssh/sshd_config 把 PermitRootLogin yes 改为 PermitRootLogin no 重启 sshd 服务 #service sshd restart CONSOLE:CONSOLE: 在/etc/securetty文件中配置：CONSOLE = /dev/tty01 回退方案 还原配置文件 /etc/ssh/sshd_config 判断依据/etc/ssh/sshd_config 中 PermitRootLogin no 实施风险高 重要等级 备注 ..4 SHG-Linux-01-01-04SHG-Linux-01-01-04SHG-Linux-01-01-04SHG-Linux-01-01-04 编号 SHG-Linux-01-01-04 名称对系统账号进行登录限制 实施目的 对系统账号进行登录限制，确保系统账号仅被守护进程和 服务使用。 问题影响可能利用系统进程默认账号登陆，账号越权使用 系统当前状态cat /etc/passwd 查看各账号状态。 实施步骤 1 1、参考配置操作参考配置操作 Vi /etc/passwd 例如修改 lynn:x:500:500:/home/lynn:/sbin/bash 更改为： lynn:x:500:500:/home/lynn:/sbin/nologin 该用户就无法登录了。 禁止所有用户登录。 touch /etc/nologin 除 root 以外的用户不能登录了。 2 2、补充操作说明、补充操作说明 禁止交互登录的系统账号，比如 daemon,bin,sys、adm、lp、uucp、nuucp、smmsp 等等 回退方案还原/etc/passwd 文件配置 判断依据/etc/passwd 中的禁止登陆账号的 shell 是 /sbin/nologin 实施风险高 重要等级 备注 ..5 SHG-Linux-01-01-05SHG-Linux-01-01-05SHG-Linux-01-01-05SHG-Linux-01-01-05 编号 SHG-Linux-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令 认证就能进入系统。 问题影响用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 = )print $1 /etc/passwd 实施步骤 awk -F: ($2 = )print $1 /etc/passwd 用 root 用户登陆 Linux 系统，执行 passwd 命令，给用户 增加口令。 例如：passwd test test。 回退方案 Root 身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险高 重要等级 备注 ..6 SHG-Linux-01-01-06SHG-Linux-01-01-06SHG-Linux-01-01-06SHG-Linux-01-01-06 编号 SHG-Linux-01-01-06 名称除 root 之外 UID 为 0 的用户 实施目的帐号与口令-检查是否存在除 root 之外 UID 为 0 的用户 问题影响账号权限过大，容易被非法利用 系统当前状态 awk -F: ($3 = 0) print $1 /etc/passwd 实施步骤 删除 处 root 以外的 UID 为 0 的用户。 回退方案无 判断依据返回值包括“root”以外的条目，则低于安全要求； 实施风险高 重要等级 备注 UID 为 0 的任何用户都拥有系统的最高特权，保证只有 root 用户的 UID 为 0 1.2 口令口令口令口令 ..1 SHG-Linux-01-02-01SHG-Linux-01-02-01SHG-Linux-01-02-01SHG-Linux-01-02-01 编号 SHG-Linux-01-02-01 名称缺省密码长度限制 实施目的 防止系统弱口令的存在，减少安全隐患。对于采用静态口 令认证技术的设备，口令长度至少 8 位。 问题影响增加密码被暴力破解的成功率 系统当前状态 cat /etc/login.defs 实施步骤 1 1、参考配置操作、参考配置操作 # vi /etc/login.defs 把下面这行 PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8 回退方案vi /etc/login.defs ，修改设置到系统加固前状态。 判断依据 PASS_MIN_LEN 8 实施风险低 重要等级 备注 ..2 SHG-Linux-01-02-0SHG-Linux-01-02-0SHG-Linux-01-02-0SHG-Linux-01-02-02 2 2 2 编号 SHG-Linux-01-02-02 名称缺省密码生存周期限制 实施目的 对于采用静态口令认证技术的设备，帐户口令的生存期不 长于 90 天，减少口令安全隐患。 问题影响密码被非法利用，并且难以管理 系统当前状态运行 cat /etc/login.defs 查看状态，并记录。 实施步骤 1 1、参考配置操作、参考配置操作 PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 回退方案Vi /etc/login.defs ，修改设置到系统加固前状态。 判断依据 PASS_MAX_DAYS 90 实施风险低 重要等级 备注 ..3 SHG-Linux-01-02-03SHG-Linux-01-02-03SHG-Linux-01-02-03SHG-Linux-01-02-03 编号 SHG-Linux-01-02-03 名称口令过期提醒 实施目的口令到期前多少天开始通知用户口令即将到期 问题影响密码被非法利用，并且难以管理 系统当前状态运行 cat /etc/login.defs 查看状态，并记录。 实施步骤 1 1、参考配置操作、参考配置操作 PASS_WARN_AGE 7 回退方案Vi /etc/login.defs ，修改设置到系统加固前状态。 判断依据PASS_WARN_AGE 7 实施风险低 重要等级 备注 1.3 文件与授权文件与授权文件与授权文件与授权 ..1 SHG-Linux-01-03-01SHG-Linux-01-03-01SHG-Linux-01-03-01SHG-Linux-01-03-01 编号 SHG-Linux-01-03-01 名称设置关键目录的权限 实施目的 在设备权限配置能力内，根据用户的业务需要，配置其所 需的最小权限。 问题影响非法访问文件 系统当前状态运行 ls al /etc/ 记录关键目录的权限 实施步骤 1 1、参考配置操作、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。 2 2、补充操作说明、补充操作说明 etc/passwd 必须所有用户都可读，root 用户可写 rw- rr /etc/shadow 只有 root 可读 r- /etc/group 必须所有用户都可读，root 用户可写 rw- rr 使用如下命令设置： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有写权限，就需移去组及其它用户对/etc 的写权限 （特殊情况除外） 执行命令#chmod -R go-w /etc 回退方案 通过 chmod 命令还原目录权限到加固前状态。 判断依据 rootlocalhost sysconfig# ls -al /etc/passwd | grep .-.-.- -rw-r-r- 1 root 1647 3 7 19:05 /etc/passwd rootlocalhost sysconfig# ls -al /etc/group | grep .-.-.- -rw-r-r- 1 root 624 3 7 19:04 /etc/group rootlocalhost sysconfig# ls -al /etc/shadow | grep .- -r- 1 root 1140 3 7 19:06 /etc/shadow 实施风险高 重要等级 备注 ..2 SHG-Linux-01-03-02SHG-Linux-01-03-02SHG-Linux-01-03-02SHG-Linux-01-03-02 编号 SHG-Linux-01-03-02 名称修改 umask 值 实施目的 控制用户缺省访问权限，当在创建新文件或目录时，屏蔽 掉新文件或目录不应有的访问允许权限。防止同属于该组 的其它用户及别的组的用户修改该用户的文件或更高限制。 问题影响非法访问目录 系统当前状态 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含 umask 值 实施步骤 1 1、参考配置操作、参考配置操作 设置默认权限： vi /etc/profile vi /etc/csh.login vi /etc/csh.cshrc vi /etc/bashrc 在末尾增加 umask 027 修改文件或目录的权限，操作举例如下： #chmod 444 dir ; #修改目录 dir 的权限为所有人都为只 读。 根据实际情况设置权限； 2 2、补充操作说明、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的 umask， 可以在需要的时候通过命令行设置，或者在用户的 shell 启动文件中配置 3 3、补充说明、补充说明 umask 的默认设置一般为 022，这给新创建的文件默认权限 755（777-022=755） ，这会给文件所有者读、写权限，但只 给组成员和其他用户读权限。 umask 的计算： umask 是使用八进制数据代码设置的，对于目录，该值等于 八进制数据代码 777 减去需要的默认权限对应的八进制数 据代码值；对于文件，该值等于八进制数据代码 666 减去 需要的默认权限对应的八进制数据代码值。 回退方案 修改 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 文件到加固前状态。 判断依据 umask 027 实施风险高 重要等级 备注 ..3 SHG-Linux-01-03-03SHG-Linux-01-03-03SHG-Linux-01-03-03SHG-Linux-01-03-03 编号 SHG-Linux-01-03-03 名称资源限制 实施目的 限制用户对系统资源的使用，可以避免拒绝服务（如：创 建很多进程、消耗系统的内存，等等）这种攻击方式。这 些限制必须在用户登录之前设定。 问题影响拒绝服务攻击 系统当前状态 Cat /etc/security/limits.conf Cat /etc/pam.d/login 实施步骤 1 1、参考配置操作、参考配置操作 第一步 编辑“limits.conf”文件 （vi /etc/security/limits.conf） ，加入或改变下面 这些行： * soft core 0 * hard core 0 * hard rss 5000 * hard nproc 20 如果限制 limitu 用户组对主机资源的使用， 加入： limitu soft core 0 limitu hard nproc 30 limitu - maxlogins 5 这些行的的意思是：“core 0”表示禁止创建 core 文 件；“nproc 20”把最多进程数限制到 20；“rss 5000” 表示除了 root 之外，其他用户都最多只能用 5M 内存。上 面这些都只对登录到系统中的用户有效。通过上面这些限 制，就能更好地控制系统中的用户对进程、core 文件和内 存的使用情况。星号“*”表示的是所有登录到系统中的用 户。 第二步 必须编辑“/etc/pam.d/login”文件，在文件末尾加 入下面这一行： session required /lib/security/pam_limits.so 补充说明：补充说明： 加入这一行后“/etc/pam.d/login”文件是这样的： #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_pwdb.so shadow nullok auth required /lib/security/pam_nologin.so account required /lib/security/pam_pwdb.so password required /lib/security/pam_cracklib.so password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow session required /lib/security/pam_pwdb.so session required /lib/security/pam_limits.so #session optional /lib/security/pam_console.sodaemon 统计进程数量 ps ax | grep httpd | wc -l 回退方案 /etc/security/limits.conf /etc/pam.d/login 恢复加固前状态 判断依据 /etc/security/limits.conf 中包含 hard core 0 * hard rss 5000 * hard nproc 20 的定义 /etc/pam.d/login 中包含 session required /lib/security/pam_limits.so 实施风险高 重要等级 备注 ..4 SHG-Linux-01-03-0SHG-Linux-01-03-0SHG-Linux-01-03-0SHG-Linux-01-03-04 4 4 4 编号 SHG-Linux-01-03-04 名称设置目录权限 实施目的设置目录权限，防止非法访问目录。 问题影响非法访问目录 系统当前状态查看重要文件和目录权限：ls l 并记录。 实施步骤 1 1、参考配置操作、参考配置操作 查看重要文件和目录权限：ls l 更改权限： 对于重要目录，建议执行如下类似操作： # chmod -R 750 /etc/init.d/* 这样只有 root 可以读、写和执行这个目录下的脚本。 回退方案 使用 chmod 命令还原被修改权限的目录。 判断依据判断 /etc/init.d/* 下的文件权限 750 以下 实施风险高 重要等级 备注 ..5 SHG-Linux-01-03-05SHG-Linux-01-03-05SHG-Linux-01-03-05SHG-Linux-01-03-05 编号 SHG-Linux-01-03-05 名称设置关键文件的属性 实施目的增强关键文件的属性，减少安全隐患。 使 messages 文件只可追加。 使轮循的 messages 文件不可更改。 问题影响非法访问目录,或者删除日志 系统当前状态 # lsattr /var/log/messages # lsattr /var/log/messages.* # lsattr /etc/shadow # lsattr /etc/passwd # lsattr /etc/group 实施步骤 1 1、参考配置操作、参考配置操作 # chattr +a /var/log/messages # chattr +i /var/log/messages.* # chattr +i /etc/shadow # chattr +i /etc/passwd # chattr +i /etc/group 建议管理员对关键文件进行特殊设置（不可更改或只能追 加等） 。 回退方案 使用 chattr 命令还原被修改权限的目录。 判断依据 # lsattr /var/log/messages # lsattr /var/log/messages.* # lsattr /etc/shadow # lsattr /etc/passwd # lsattr /etc/group 判断属性 实施风险高 重要等级 备注 ..6 SHG-Linux-01-03-06SHG-Linux-01-03-06SHG-Linux-01-03-06SHG-Linux-01-03-06 编号 SHG-Linux-01-03-06 名称对 root 为 ls、rm 设置别名 实施目的 为 ls 设置别名使得 root 可以清楚的查看文件的属性（包括 不可更改等特殊属性） 。 为 rm 设置别名使得 root 在删除文件时进行确认，避免误操 作。 问题影响非法执行指令 系统当前状态 查看当前 shell： # echo $SHELL 如果是 csh： # vi /.cshrc 如果是 bash： # vi /.bashrc 实施步骤 1 1、参考配置操作、参考配置操作 查看当前 shell： # echo $SHELL 如果是 csh： # vi /.cshrc 如果是 bash： # vi /.bashrc 加入 alias ls ls -aol alias rm rm -i 重新登录之后查看是否生效。 回退方案 通过 chmod 命令还原目录权限到加固前状态。 判断依据 alias ls ls -aol alias rm =rm i 类似的定义 实施风险低 重要等级 备注 ..7 SHG-Linux-01-03-07SHG-Linux-01-03-07SHG-Linux-01-03-07SHG-Linux-01-03-07 编号 SHG-Linux-01-03-07 名称使用 PAM 禁止任何人 su 为 root 实施目的避免任何人可以 su 为 root，减少安全隐患。 问题影响用户提权 系统当前状态 cat /etc/pam.d/su 实施步骤 1 1、参考配置操作、参考配置操作 编辑 su 文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户。 你可以把用户添加到 wheel 组，以使它可以使用 su 命令成 为 root 用户。添加方法为： # chmod G10 username 回退方案 恢复/etc/pam.d/su 到加固前状态。 判断依据 Cat /etc/pam.d/su 实施风险高 重要等级 备注 ..8 SHG-Linux-01-03-08SHG-Linux-01-03-08SHG-Linux-01-03-08SHG-Linux-01-03-08 编号 SHG-Linux-01-03-08 名称查看/tmp 目录属性 实施目的开放 tmp 目录的权限 问题影响 用户没有完整进入该目录，去浏览、删除和移动文件的权 限 系统当前状态ls -al / | grep tmp 实施步骤 1 1、参考配置操作、参考配置操作 Chmod +t /tmp T 或 T（Sticky）：/tmp 和 /var/tmp 目录供所有用户暂时存 取文件，亦即每位用户皆拥有完整的权限进入该目录，去 浏览、删除和移动文件。 回退方案 Chmod 回复加固之前的状态 判断依据 # ls -al / | grep tmp drwxrwxrwt 7 root 4096 May 11 20:07 tmp/ 实施风险高 重要等级 备注 2 2 2 2 日志配置日志配置日志配置日志配置 ..1 SHG-Linux-02-01-01SHG-Linux-02-01-01SHG-Linux-02-01-01SHG-Linux-02-01-01 编号 SHG-Linux-02-01-01 名称启用日志记录功能 实施目的登陆认证服务记录 问题影响无法对用户的登陆进行日志记录 系统当前状态运行 cat /etc/syslog.conf 查看状态，并记录。 实施步骤 1 1、参考配置操作参考配置操作 cat /etc/syslog.conf # The authpriv file has restricted access. authpriv.* /var/log/secure * auth, authpriv：主要认证有关机制，例如 telnet, login, ssh 等需要认证的服务都是使用此一机制 回退方案 vi /etc/syslog.conf ，修改设置到系统加固前状态。 判断依据 authpriv.* /var/log/secure 实施风险低 重要等级 备注 ..2 SHG-Linux-02-01-0SHG-Linux-02-01-0SHG-Linux-02-01-0SHG-Linux-02-01-02 2 2 2 编号 SHG-Linux-02-01-02 名称记录系统安全事件 实施目的通过设置让系统记录安全事件，方便管理员分析 问题影响无法记录系统的各种安全事件 系统当前状态Cat /etc/syslog.conf 实施步骤 1 1、参考配置操作、参考配置操作 修改配置文件 vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 回退方案 vi /etc/syslog.conf，修改设置到系统加固前状态。 判断依据记录系统安全事件 实施风险高 重要等级 备注 ..3 SHG-Linux-02-01-0SHG-Linux-02-01-0SHG-Linux-02-01-0SHG-Linux-02-01-03 3 3 3 编号 SHG-Linux-02-01-03 名称对 ssh、su 登录日志进行